La prima cosa che guardo quando analizzo un sito nuovo non è il traffico. È il protocollo. Perché un sito ancora in HTTP nel 2020 era un problema. Oggi è un segnale di abbandono che Google, i browser e gli utenti leggono tutti nello stesso modo: questo sito non è curato.
Ho visto progetti con contenuti ottimi, backlink solidi e struttura pulita che perdevano conversioni per un avviso “Non sicuro” in cima al browser. Non per un problema tecnico complesso: per un certificato SSL non installato.
Migrare da HTTP a HTTPS non è un optional tecnico: è il pavimento minimo su cui costruisce tutto il resto. In questo articolo ti spiego cosa cambia davvero, come farlo senza perdere posizioni e quali errori evitare.
La differenza tra HTTP e HTTPS
HTTP (HyperText Transfer Protocol) trasmette i dati in chiaro tra browser e server: chiunque intercetti la connessione può leggere quello che viene scambiato. HTTPS aggiunge un livello di cifratura tramite SSL/TLS che rende illeggibili i dati in transito, garantisce l’autenticità del server e protegge l’integrità delle informazioni.
La differenza non è solo tecnica: è strutturale. HTTPS è oggi lo standard minimo atteso da browser, motori di ricerca e utenti. Un sito ancora in HTTP non è “meno sicuro”: è fuori dagli standard correnti.
Come funziona il certificato SSL
Il certificato SSL (o più precisamente TLS, la versione aggiornata) è il documento digitale che abilita la connessione cifrata. Viene emesso da un’autorità di certificazione (CA), associato al dominio e installato sul server.
Il risultato visivo che conosci è il lucchetto nella barra del browser, accanto all’URL. Quel lucchetto dice all’utente: la connessione è autenticata e cifrata. Senza certificato valido, i browser moderni mostrano invece l’avviso “Non sicuro”, in modo esplicito e visibile.
Come vedere se un sito è HTTP o HTTPS
Basta guardare la barra degli indirizzi del browser. Se l’URL inizia con https:// e compare il lucchetto, la connessione è sicura. Se compare “Non sicuro” o l’URL inizia con http://, il sito non ha un certificato SSL attivo o valido.
I browser moderni, Chrome in testa, mostrano l’avviso “Non sicuro” in modo proattivo su tutti i siti HTTP, anche su quelli che non raccolgono dati sensibili. Non c’è più una soglia di tolleranza: o sei in HTTPS, o sei segnalato come problema.
Perché HTTPS è importante per la SEO
HTTPS è un fattore di ranking confermato da Google, dichiarato esplicitamente come segnale di valutazione della qualità di un sito. Non è una leggenda metropolitana SEO.
Ma l’impatto va oltre il ranking diretto. Un sito in HTTP può avere problemi di crawl budget perché Googlebot deve gestire redirect misti o contenuti duplicati tra le versioni HTTP e HTTPS. Può avere penalizzazioni indirette sui Core Web Vitals se le risorse caricate in HTTP rallentano o bloccano il rendering della pagina HTTPS.
HTTPS come segnale di fiducia per gli utenti
L’avviso “Non sicuro” non è invisibile: gli utenti lo leggono e molti abbandonano la pagina prima ancora di iniziare. Questo si traduce in un tasso di rimbalzo più alto, sessioni più corte e un segnale comportamentale negativo che Google interpreta come contenuto poco rilevante o poco affidabile.
Un e-commerce B2B con cui ho lavorato aveva questo problema. Catalogo tecnico e approfondito, ma tasso di rimbalzo anomalo sulle schede prodotto. Dopo la migrazione a HTTPS e la risoluzione dei contenuti misti, il tasso di rimbalzo è sceso in modo misurabile nelle settimane successive.
Il contenuto non era cambiato. Era cambiata la fiducia percepita. E Google lo aveva già registrato nel comportamento degli utenti prima ancora che intervenissimo.
Il browser usa HTTPS invece di HTTP: quando accade
Il browser passa automaticamente a HTTPS quando il sito ha un certificato SSL valido e i redirect 301 configurati correttamente da HTTP verso HTTPS. In quel caso, anche chi digita http:// nella barra degli indirizzi viene indirizzato automaticamente alla versione sicura.
C’è anche un livello successivo: HSTS (HTTP Strict Transport Security). È un header di sicurezza che il server invia al browser per dirgli di usare sempre e solo HTTPS per quel dominio, senza nemmeno tentare la connessione HTTP. Una volta che il browser ha ricevuto questo header, non accetta più connessioni non cifrate, anche se l’utente le richiede esplicitamente. È il meccanismo che chiude definitivamente la porta al protocollo non sicuro.
Come migrare correttamente senza perdere posizioni
La migrazione da HTTP a HTTPS, se fatta male, può cancellare il link equity accumulato nel tempo e far sparire pagine dall’indice. L’ordine in cui esegui i passaggi conta quanto i passaggi stessi.
Questi sono i punti che seguo in ogni migrazione:
- Installare il certificato SSL sul server
- Configurare i redirect 301 da HTTP a HTTPS per tutte le URL
- Aggiornare i link interni e le risorse caricate (immagini, script, CSS) per evitare contenuti misti
- Aggiornare sitemap e tag canonical con gli URL HTTPS
- Riconfigurare Google Search Console con la proprietà HTTPS
- Aggiungere l’header HSTS dopo aver verificato che tutto funzioni
Installare il certificato SSL
Le opzioni principali per ottenere un certificato SSL sono due:
- Let’s Encrypt: certificato gratuito, rinnovabile automaticamente ogni 90 giorni, supportato da quasi tutti i principali hosting. È sufficiente per la grande maggioranza dei siti.
- Certificati a pagamento (DV, OV, EV): utili per e-commerce o siti che gestiscono dati sensibili, offrono garanzie aggiuntive e, nel caso dei certificati EV, una visualizzazione estesa del nome dell’organizzazione.
La maggior parte degli hosting moderni offre l’installazione di Let’s Encrypt con un click dal pannello di controllo. Se il tuo hosting non lo supporta, è un buon momento per valutare un cambio.
Configurare i redirect 301 in modo corretto
I redirect 301 sono indispensabili per preservare il link equity: comunicano a Google che la risorsa si è spostata in modo permanente, trasferendo l’autorità accumulata dalla vecchia URL alla nuova.
Un esempio di configurazione per Apache (file .htaccess):
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Per Nginx, la logica equivalente:
server {
listen 80;
server_name example.com www.example.com;
return 301 https://$host$request_uri;
}
Attenzione alle redirect chain: se hai già redirect esistenti (es. da non-www a www), assicurati che la catena finale sia diretta e non passi per più hop. Ogni hop intermedio disperde link equity e rallenta il caricamento.
Aggiornare sitemap, canonical e Google Search Console
Dopo aver attivato i redirect, questi elementi devono essere aggiornati tutti in HTTPS:
- Sitemap XML: aggiorna tutti gli URL con il prefisso
https://e inviala nuovamente in Google Search Console - Tag canonical: controlla che tutte le pagine puntino alla versione HTTPS di se stesse
- Google Search Console: aggiungi la proprietà
https://e impostala come principale - Link interni: aggiorna href, src e action forms per caricare risorse direttamente in HTTPS
- Google Analytics / Tag Manager: aggiorna l’URL del sito nelle impostazioni della proprietà
Errori comuni nella migrazione da HTTP a HTTPS
Gli errori che vedo più spesso non riguardano il certificato, che ormai è semplice da installare. Riguardano quello che succede dopo.
Contenuti misti (mixed content): la pagina è servita in HTTPS ma alcune risorse (immagini, script, iframe) vengono ancora caricate da URL in HTTP. Il browser blocca o segnala questi elementi, con impatto sia sulla UX sia sul posizionamento. Si risolve aggiornando tutti i riferimenti interni e usando lo strumento di ispezione del browser per identificare le risorse non sicure.
Redirect chain non ottimizzate: se prima della migrazione avevi già redirect da HTTP non-www a HTTP www, dopo la migrazione potresti ritrovarti con catene del tipo http://dominio.it → http://www.dominio.it → https://www.dominio.it. Tre hop invece di uno: PageRank disperso, caricamento più lento.
Mancato aggiornamento dei link interni: i redirect 301 trasferiscono il link equity, ma avere link interni che ancora puntano a URL in HTTP significa dipendere dai redirect a ogni navigazione. Aggiornali direttamente in HTTPS per non sprecare crawl budget e velocità.
Dimenticare GSC e Analytics: se non aggiorni le proprietà, continui a monitorare dati frammentati su due versioni del sito. I dati storici rimangono sulla proprietà HTTP, quelli nuovi si accumulano sulla proprietà HTTPS: non li vedi come un continuum, e perdi il confronto con il periodo precedente alla migrazione.
La migrazione a HTTPS non è un intervento che “migliora” un sito: è la correzione di qualcosa che non avrebbe dovuto rimanere in HTTP così a lungo. Il problema non è tecnico, è di priorità. Chi rimanda questa operazione di solito rimanda anche gli aggiornamenti dei link interni, la pulizia dei canonical, la verifica dei redirect. E quando arriva il momento di analizzare un calo di traffico, trova tutto da fare insieme.
Fai la migrazione una volta, falla bene, e chiudila. Il protocollo non è mai il punto centrale di una strategia SEO, ma un sito in HTTP nel 2025 è un rumore di fondo che distrae da tutto il resto.
Vuoi migrare il tuo sito senza rischi SEO? Contattami per una consulenza tecnica personalizzata.
Se quello che hai letto ti risuona, fammi sapere su cosa stai lavorando.
Contattami
Autore
Adriana Longhitano
SEO Specialist con oltre 8 anni di esperienza. Progetto strategie di visibilità organica per aziende e professionisti che vogliono essere trovati — su Google e nei sistemi AI. Specializzata in GEO (Generative Engine Optimization), SEO tecnica e architettura dell’informazione.
